ciclo de vida de laseguridad en las redes
TRANSCRIPT
CICLO DE VIDA DE LA SEGURIDAD EN LAS REDES
NORMA ISO 17799
NORMA ISO 27001
JHOVANY FERNANDO FERRIRA BECERRAIng de Sistemas IX semestre
CICLO DE VIDA DE LASEGURIDAD EN LAS
REDES
Creación de políticas Control de accesos uso de aplicaciones QoS de aplicaciones establecimiento de prioridades
Cumplimiento de la política control de acceso administración BW prevención de ataques contención de ataques
Cuarentena depuración de virus aplicar parches
Amenazas vulnerabilidades monitoreo de redes eventos inesperados
La Organización Internacional para la Estandarización, ISO por sus siglas en inglés (International Organization for Standardization), es una federación mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarización (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estándares internacionales que faciliten el comercio internacional.
Teniendo como base diferentes antecedentes sobre normas de estandarización que se fueron desarrollando principalmente en Gran Bretaña, la ISO creó y publicó en 1987 sus primeros estándares de dirección de la calidad: los estándares de calidad de la serie ISO 9000.
Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad
ISO
Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad.
La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos: Política de seguridad: escribir y comunicar la política de seguridad de la
compañía Organización de seguridad: definir los roles y las responsabilidades.
Monitorear a los socios y a las empresas tercerizadas Clasificación y control de activos: llevar un inventario de los bienes de la
compañía y definir cuán críticos son así como sus riesgos asociados Seguridad del personal: contratación, capacitación y aumento de
concientización relacionadas a la seguridad Seguridad física y del entorno: área de seguridad, inventarios del
equipamiento de seguridad
ISO 17799
Comunicación / Administración de operaciones: procedimientos en caso de accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.
Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)
Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento
Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia
Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía
PROCESO
Obtener soporte de la alta gerencia
Definir la seguridadperimetral
Crear la política deseguridad de información
Crear el sistema de administración
de la seguridad informática
Ejecutar la evaluaciónde riesgos
Seleccionar eimplementar los
controles
Documentar el informe
Auditar
Es un estándar para la seguridad de la información ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) fue aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardizatio y por la comisión International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) según el conocido “Ciclo de Deming”: PDCA- acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/ IEC 1779 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institutio (BSI).
ISO/IEC 27001
El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.
Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas.
BENEFICIOS
La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información (en adelante SGSI) elegido. En general, es recomendable la ayuda de consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
IMPLANTACION
La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.
CERTIFICACION